:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/20/a8/20a8a156f7da6e4f19c9243209dae51b/0113707453.jpeg "Die Zahl der Jenkins-Pipelines legte zwischen Juni 2021 und Juni 2023 deutlich zu. (Bild: Jenkins.io)")
:quality(80)/p7i.vogel.de/wcms/fa/66/fa667ce27d791e4d93731d0f17c58825/0113614284.jpeg "Freelance-Plattformen sollten nicht nur umfangreiche, sondern auch verlässliche Informationen über die Fähigkeiten der jeweiligen Entwickler bieten. (Bild: <a href=https://pixabay.com/users/oleksandrpidvalnyi-4638469/>Oleksandr Pidvalnyi</a>)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/73/e2/73e2407821e9b97926d18c786b43a1dc/0113715722.jpeg "Rendered Text hat sich Gedanken zu den 12 besten Kubernetes-Tools gemacht. (Bild: <a href=https://unsplash.com/@growtika>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/6b/e3/6be36ef98e76a698de9c93b777c7b38f/0113606383.jpeg "Kollaborativ, ressourcenschonend, transparent: Open-Source-Code folgt in vielerlei Hinsicht dem Gedanken der Nachhaltigkeit. (© weerapat1003 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/d5/93d5fd1b87f3649ef503933d229c71dc/0113760310.jpeg "Kein Grund mehr zu kämpfen: Die Frage, ob quelloffener Code sicherer als proprietärer Code ist, stellt sich eigentlich gar nicht mehr. (Bild: <a href=https://pixabay.com/users/tenleaf-6286534/>Yingnan Lu</a>)")
:quality(80)/p7i.vogel.de/wcms/1d/57/1d578f499e5af1dad699dc880b72e1ed/0113594566.jpeg "„Watsonx Code Assistant for Z“ von IBM soll Unternehmen dabei unterstützen, mit Hilfe von generativer KI und automatisierten Werkzeugen die Modernisierung ihrer Mainframe-Anwendungen voran zu bringen – mit dem Ziel, die Leistungsfähigkeit, Sicherheit und Ausfallsicherheit von „IBM Z“ zu erhalten. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Umdenken bei der Sicherheitskultur IT-Sicherheit geht alle Teams an
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Vieles hat sich 2020 auf eine Art verändert, die kaum vorherzusehen war. IT-Sicherheit aber bleibt Kernthema für die meisten Unternehmen. Gleichzeitig schrumpft das Vertrauen von Unternehmen in ihre Fähigkeit, diesen Bedrohungen effektiv zu begegnen.
Während die allgegenwärtige Vernetzung mehr potenzielle Angriffspunkte für Hacker öffnet, sehen sich Entscheiderinnen und Entscheider pandemiebedingt mit neuen Bedrohungen – einem deutlichen Anstieg an intelligentem Phishing und COVID-19 bezogener Malware – konfrontiert. Innerhalb kürzester Zeit sind ganze Abteilungen oder gar Unternehmen zum Homeoffice als Standardarbeitsplatz übergegangen.
Die Mischung aus ständiger Verunsicherung durch die Pandemie und mehr digitalen Interaktionen erhöht das Risiko, dass schädliche Clickbaits erfolgreich sind. Digitale Sicherheit in Unternehmen erfordert von Organisationen die Fähigkeit, dynamisch auf eine sich ständig verändernde Bedrohungslandschaft zu reagieren.
Dies ist oft jedoch nicht die Stärke traditioneller Sicherheits-Frameworks oder Fertiglösungen. Weitaus mehr als das Anwenden von Standardlösungen müssen Unternehmen ein neues Mindset rund um IT-Sicherheit in ihren Teams etablieren. Doch wie können sie das erreichen?
IT-Sicherheit fängt mit dem Erkennen von Schwachstellen an
Der erste Schritt hin zu einem neuen Sicherheitsbewusstsein in Unternehmen ist es, sich den neuen Sicherheitsrealitäten zu stellen, die durch die Verbreitung von Vernetzung, Daten und Cloud-basierten Computing-Modellen entstehen. Entscheider*innen tun gut daran, die IT-Struktur ihres Unternehmens auf mögliche Sicherheitsbedenken hin zu evaluieren.
Oft unterschätzen Unternehmen beim Einsatz von Cloud Computing beispielsweise ihre eigene Verantwortung für Cyber-Sicherheit bei der Zusammenarbeit mit Cloud-Providern. Auch Datenschutz und Datensicherheit, insbesondere hinsichtlich der Sicherheit von Endkundendaten, gewinnen an Bedeutung; denn das Verständnis, die Perspektiven und Haltungen der Nutzerinnen und Nutzer sowie Regierungen und Rechtsprechung haben sich verändert.
Gleichzeitig werden exponentiell mehr Daten erhoben, gespeichert und im Rahmen von Business Intelligence verarbeitet. Damit entstehen sehr viel größere und interessantere Ziele für Cyberkriminelle.
Das Internet of Things kann ebenfalls ein Einfallstor für Cyberbedrohungen sein: Da immer mehr vernetzte Geräte an kritischen Punkten im Produktionsprozess eingesetzt werden oder in engeren Kontakt mit Angestellten und der Kundschaft kommen, vergrößert sich die Angriffsfläche des Unternehmens. Unglücklicherweise haben viele IoT-Geräte außerdem nach wie vor deutliche Sicherheitslücken. Oft werden unsichere Default-Konfigurationen oder Passwörter bereitgestellt und von Usern nicht geändert.
All diese Risiken bekommen heute neue Aufmerksamkeit. Einerseits weil mehr und mehr von Heimarbeitsplätzen aus gearbeitet wird, andererseits weil die Grenzen zwischen privaten und beruflichen Geräten seit Jahren verschwimmen.
Nicht außer Acht gelassen werden sollten außerdem komplexe Lieferketten. Unternehmen tendieren dazu, sich auf ihre eigenen Sicherheitspraktiken zu konzentrieren und dabei das Risiko zu unterschätzen, das sich aus den vernetzten Komponenten verschiedener Software-Dienstleister, Lieferanten und Vertriebspartner ergibt.
IT-Sicherheitsrisiken haben ihren Ursprung häufig in einem schwachen Glied in der Kette, in einem Baustein, der nicht die angemessenen Software-Sicherheitsstandards erfüllt. Das Einhalten dieser Standards über alle Komponenten hinweg lässt sich leider nicht verkürzen, sodass eine einzelne Schwachstelle die Sicherheit des gesamten Systems gefährdet.
Von der Sicherheitsstrategie zur Sicherheitskultur
Technologie, Zero-Trust-Architekturen und Training können helfen, solche Herausforderungen besser zu bewältigen. Dennoch können auch die kompetentesten Teams heute nur bessere Ausgangsvoraussetzungen in Sachen IT-Sicherheit schaffen. Jeder Schutz ist potenziell fehlbar und gelegentliche Rückschläge sind unvermeidlich.
Anstatt sich also vollständig darauf zu konzentrieren, das Unternehmen unangreifbar zu machen, müssen leitende Angestellte daran arbeiten, wie Sicherheit wahrgenommen wird. Die größte Herausforderung dabei ist das Mindset der Mitarbeiterinnen und Mitarbeiter. Zunächst müssen Unternehmen daran arbeiten, dass Sicherheit als gemeinschaftliche Aufgabe und nicht als die Verantwortung eines einzelnen Teams verstanden wird.
Eine enge Zusammenarbeit zwischen den Abteilungen im Unternehmen, für die etwas auf dem Spiel steht, und denjenigen, die technische Systeme bereitstellen, ist zentral für ein sinnvolles Risikomanagement. Sicherheit ist kein binärer Zustand.
Während IT-Profis unter Umständen nicht verstehen, welcher Wert oder welches Risiko mit einem bestimmten Datensatz verbunden ist, leben Angestellte anderer Funktionsbereiche (z.B. die Rechtsabteilung oder die Personalverwaltung) genau diese Information jeden Tag. Diese Fachabteilungen wissen in der Regel sehr genau, was auf dem Spiel steht, im Gegensatz zu Menschen, deren Expertise es ist, die Firewall zu konfigurieren.
Unternehmen können eine partnerschaftliche Sicherheitskultur fördern, indem sie ihr Sicherheitsteam als interne Consultants einsetzen. Wenn Sicherheitsexperten in Projektteams eingebunden sind, werden angemessene Sicherheitsmaßnahmen direkt in den Entwicklungsprozess eingebettet und entlang der realistischen Risiken bewertet. Es gilt zu verhindern, dass Sicherheitsanforderungen und -bewertungen ausschließlich zu Beginn und am Ende eines Projekts Beachtung finden, denn diese führen regelmäßig zu schmerzhaften und potenziell teuren Sicherheitsvorfällen.
Wenn Cross-funktionale Teams mit IT-Sicherheitskompetenzen ausgestattet werden, lassen sich Risiken dann adressieren, wenn sie entstehen. So reduzieren Unternehmen Situationen, in denen sich Anforderungen an die Software über die Zeit ändern, Sicherheitsteams diese aber erst spät im Entwicklungsprozess identifizieren. Dies sind dann häufig Vorfälle, aufgrund derer wichtige Go-Live-Termine verschoben oder Sicherheitsmaßnahmen teuer nachgerüstet werden müssen.
Ein Umbau hin zu einer demokratischeren Sicherheitsorganisation bedarf oft sensibler organisatorischer Veränderungsprozesse, die das Gleichgewicht von Kontrolle und Verantwortlichkeit neu definieren. Diese bedürfen einer Mischung aus Management Support, klarer Kommunikation und Incentivierung über alle Unternehmensebenen hinweg.
Kolleginnen und Kollegen näher an der Basis verstehen unter Umständen nicht direkt, dass sie nun auch für die Sicherheit ihrer Produkte und für die sensible Risikoabwägung bei der Priorisierung von Features inklusive ihrer Sicherheitsanforderungen verantwortlich sind. Es ist zentral, ein fundiertes Bewusstsein bei allen Angestellten zu schaffen.
Dazu müssen diese darüber informiert sein, was kritisch für den Unternehmenserfolg ist, was zentrale Geschäftswerte sind, welche Informationen öffentlich geteilt werden können und welche nicht. Wenn unsere neue Normalität virtuell und sozial ist, dann müssen wir kritisches Denken fördern – nicht nur beim Programmieren, sondern in allen alltäglichen Geschäftsaktivitäten.
Dem Fachkräftemangel durch neue Sicherheitskultur begegnen
Aus der kollektiven Entwicklung von Sicherheitskompetenzen ergibt sich ein weiterer Vorteil: Es kann Unternehmen helfen, den massiven Fachkräftemangel im IT-Sicherheitsbereich abzufedern. Wenn die Sicherheitskenntnisse im gesamten Unternehmen gestärkt werden, anstatt sich ausschließlich auf Expertinnen zu verlassen, verringert sich automatisch das Defizit an Talenten.
Zwar haben IT-Security-Spezialisten ihren speziellen Platz, IT-Sicherheit selbst aber kann nicht isoliert betrachtet werden. Relevantes Wissen rund um die Sicherheit von IT-Systemen muss in jedem Team verankert sein. Unternehmen brauchen Teams, die im richtigen Moment sicherheitsrelevante Fragen identifizieren und verstehen, was es braucht, um angemessene Maßnahmen zu priorisieren.
Fazit: Sicherheitsdenken als neuer Performance-Indikator
Kontrollen, die von oben verordnet werden, können keine Kultur geteilter Sicherheitsverantwortung etablieren. Insbesondere müssen Anreize geschaffen werden, die auf das wesentliche Ziel von IT-Sicherheit hinwirken: Mehrwert für das Unternehmen zu schaffen. Diese Anreize müssen der Haltung entgegenwirken, zwischen Wertschöpfung und Sicherheit zu entscheiden.
Oft sind Performance-Indikatoren in Bezug auf Sicherheit allerdings so definiert, dass nicht der Mehrwert im Fokus steht und teilweise sogar kontraproduktives Verhalten belohnt wird. So wird zum Beispiel häufig noch immer die reine Anzahl an Sicherheitsvorfällen gemessen, was dazu führen kann, dass Vorfälle einfach nicht mehr gemeldet werden. Auf diese Weise können Unternehmen aber nie besser werden.
Unabhängig davon, wie IT-Sicherheit bewertet und gefördert wird, ist es so gut wie sicher, dass jedes Unternehmen irgendwann mit einem Vorfall oder einer Sicherheitsverletzung konfrontiert wird. Wichtig ist Transparenz während der Behebung des Vorfalls und ein „Post-Mortem“ ohne Schuldzuweisungen, sondern mit Fokus auf der Verbesserung des Gesamtsystems. Ein Sicherheitsvorfall muss nicht gleichbedeutend mit einer Katastrophe sein, wenn das Unternehmen sich um den ersten Schritt gekümmert hat – Planung, Übung und Vorbereitung.
* Lisa Junger ist Information Security Lead bei ThoughtWorks.
(ID:47409734)
:quality(80)/p7i.vogel.de/wcms/de/f3/def38b3f05889a71707b64e7ebe883cd/0112261389.jpeg "Security Champions denken Cybersicherheit für ihr gesamtes Team mit und integrieren sie tief in den Entwicklungsprozess. (Bild: <a href=https://pixabay.com/users/andremsantana-61090/>André Santana AndreMS</a>)")
:quality(80)/p7i.vogel.de/wcms/89/28/892871c57192ed129c60b5c67b522a51/0113336605.jpeg "Beim Platform Engineering werden grundlegende Tools und Komponenten an einer zentralen Stelle gebündelt. (© VectorMine - stock.adobe.com)")